So erstellen Sie benutzerdefinierte Suchregeln für die "rohe" Datenrettung

Erstellen benutzerdefinierter IntelliRAW-Regeln

In meisten Fällen führt UFS Explorer gründliche Analyse der Dateisystemstrukturen durch und interpretiert diese Informationen, um die fehlenden Daten zu lokalisieren und wiederherzustellen. Unter bestimmten Umständen können wichtige Serviceaufzeichnungen jedoch stark beschädigt oder sogar überschrieben werden, z. B. beim Formatieren, Initialisieren oder anderen Manipulationen am Speicher.

Dies macht es unmöglich, mit dem genannten Ansatz ein zufriedenstellendes Datenrettungsergebnis zu erzielen. Um dieses Problem zu lösen oder das erhaltene Ergebnis zu erweitern, kann IntelliRAW oder die Methode der "rohen Wiederherstellung" aktiviert werden. Diese Technik umfasst die Suche nach vordefinierten Fragmenten des Dateiinhalts oder den sogenannten Dateisignaturen (auch "magische Zahlen"). Diese Binärsequenzen treten an einem bestimmten Versatz am Anfang und manchmal auch am Ende der Datei auf und können zur Identifizierung von Dateien eines jeweiligen Typs verwendet werden.

UFS Explorer enthält bereits eine breite Palette von IntelliRAW-Regeln mit Signaturen für die gängigsten Dateitypen wie Dokumente, Bilder, Multimedia, Archive usw. Wenn Sie jedoch mit seltenen oder proprietären Dateiformaten arbeiten, möchten Sie möglicherweise die verfügbare Liste mit benutzerdefinierten Regeln, die während des Wiederherstellungsprozesses verwendet werden können, erweitern.

Das Verfahren zum Einrichten eines benutzerdefinierten Dateityps besteht aus drei getrennten Phasen: Bestimmung von Text- oder Binärsignaturen, die für das gegebene Format charakteristisch sind, Definition einer Regel, nach der sie vom Programm erkannt werden, und die Anwendung dieser Regel bei der Spezifikation von Parametern für das Scannen des Speichers.

Erkennung einer Signatur der Datei

Führen Sie die folgenden Schritte aus, um die Signaturen Ihres Dateityps, die zum Erstellen einer benutzerdefinierten Suchregel verwendet werden können, festzustellen:

  1. Entscheiden Sie, mit welchen Mitteln Sie den hexadezimalen Inhalt von Dateien auf das Vorhandensein von Dateisignaturen untersuchen wollen. Lesen Sie den Artikel zum Öffnen einer Datenquelle zum weiteren Analysieren von Hex in UFS Explorer oder verwenden Sie ein anderes alternatives Tool Ihrer Wahl.

  2. Öffnen Sie die hexadezimalen Darstellungen mehrerer Beispieldateien des benötigten Formats. Als Anschauungsbeispiel haben wir fünf einfache JPEG-Bilder.

    screenshot

  3. Untersuchen Sie die Binärdaten jeder geöffneten Datei, um identische Muster zu finden, insbesondere ganz am Anfang und am Ende. Verwenden Sie im Falle eines textbasierten Dateiformats das Textdarstellungsfeld. Um genauere Ergebnisse zu erhalten, müssen Sie so viele Dateien wie möglich untersuchen. In unseren Beispielen können wir sehen, dass jede der Dateien mit der Signatur FF D8 FF (˙Ř˙) beginnt und mit FF D9 (˙Ů) endet.

    screenshot

    screenshot

    Beachten Sie: In einigen Fällen kann es schwierig sein, den Unterschied zwischen den tatsächlichen Dateisignaturen und einfach ähnlichen Datenmustern, die Dienstinformationen enthalten, zu erkennen. Versuchen Sie nach Möglichkeit, Beispieldateien, die nicht eng miteinander verbunden sind, aufzunehmen, z. B. Videos, die von verschiedenen Kameras aufgenommen wurden.

  4. Wählen Sie die Signatur aus, die sich näher am Anfang Ihrer Beispieldateien befindet, und kopieren Sie sie mit dem Werkzeug zum Kopieren von Rohdaten (hexadezimalen Daten) in die Zwischenablage. Wenn Ihre Signatur nicht binär ist, verwenden Sie stattdessen das Tool zum Kopieren von Textdaten. Fügen Sie diese Sequenz ein und speichern Sie sie an einem sicheren Ort, um sie später verwenden zu können.

    Beachten Sie auch die Position Ihrer Signatur im Feld "Start des markierten Bereichs". In unserem Fall ist es 0x0, aber Ihre Signatur muss nicht unbedingt ganz am Anfang stehen.

    screenshot

  5. Wenn Sie am Ende Ihrer Beispieldateien eine Signatur entdeckt haben, führen Sie den Kopiervorgang auch für diese Signatur durch.

Erstellung einer Suchregel basierend auf den identifizierten Signaturen

Nachdem Sie die erforderlichen Signaturen der Datei erhalten haben, können Sie eine benutzerdefinierte Suchregel definieren, die von UFS Explorer für ihre Erkennung verwendet wird.

Ab Version 9.4 bietet die Software einen integrierten grafischen Editor, der es ermöglicht, solche Regeln direkt im Programm zu erstellen, anzuzeigen und zu bearbeiten. Er kann auch verwendet werden, um einen benutzerdefinierten Dateityp aus der vorhandenen *.xml-Datei eines beliebigen unterstützten Formats von Drittanbietern zu laden.

Diejenigen, die ihre Produkte nicht aktualisiert haben, können ein spezielles kostenloses Dienstprogramm namens IntelliRAW Rules Editor herunterladen und den Anweisungen zum Erstellen benutzerdefinierter Suchregeln in älteren Versionen von UFS Explorer (bis Version 9.3) folgen.

Wenn Sie eine aktuelle Version des Programms verwenden, gehen Sie wie folgt vor:

  1. Führen Sie UFS Explorer aus und ändern Sie im Bedarfsfall dessen Einstellungen im entsprechenden Bereich.

  2. Öffnen Sie das Element "Tools" im Hauptmenü und wählen Sie die Option "IntelliRAW-Regeln", um den eingebetteten Editor zu starten.

    screenshot

  3. Im geöffneten Dialog sehen Sie die Liste der Dateitypen, die standardmäßig in der Software aktiviert sind. Beachten Sie bitte, dass die vordefinierten Regeln nicht betrachtet oder geändert werden können.

    screenshot

  4. Um Ihren eigenen Dateityp zu erstellen, klicken Sie oben in der Symbolleiste auf die Schaltfläche "Neuer Typ".

    screenshot

  5. Wählen Sie je nach Format Ihrer Signaturen (Hexadezimalsequenzen oder Textzeichenfolgen) die Art der zu definierenden Regel aus.

    screenshot

    screenshot

  6. Geben Sie eine Dateierweiterung an, die für die gefundenen Dateien angegebenes Formats verwendet wird.

    screenshot

  7. Bestimmen Sie im entsprechenden Feld einen Namen für Ihren benutzerdefinierten Dateityp ein. Dieser Name wird auch dem Container für diese Dateien in den Ergebnissen der "rohen" Datenrettung zugewiesen.

    screenshot

  8. Wenn Sie eine textbasierte Signatur verwenden, können Sie die gewünschte Codierung über die Dropdown-Liste neben der Eigenschaft "Textformat" auswählen.

    screenshot

  9. Drücken Sie oben auf die Schaltfläche "Regel hinzufügen" und fügen Sie die erste im vorherigen Schritt erhaltene Signatur in das Feld neben der Eigenschaft "Wert" ein.

    screenshot

    screenshot

  10. Im Falle einer hexadezimalen Signatur geben Sie deren Position im Feld "Regelversatz" an.

    screenshot

    Im Falle einer textbasierten Signatur können Sie die Groß- und Kleinschreibung aktivieren, um zwischen Groß- und Kleinbuchstaben zu unterscheiden.

    screenshot

  11. Nachdem Sie auf "OK" geklickt haben, wird die angegebene Regel im unteren Bereich aufgelistet. Sie kann jederzeit über die Schaltfläche "Anzeigen/Bearbeiten" geändert werden.

    screenshot

  12. Wenn Sie eine andere Signatur haben, klicken Sie erneut auf die Schaltfläche "Regel hinzufügen" und wiederholen Sie die vorherigen Schritte.

    screenshot

  13. Definieren Sie die Bedingungen, die erfüllt sein müssen, damit ein Abgleich stattfindet: Legen Sie über die Eigenschaft "Regellogiken" fest, ob alle Signaturen oder mindestens eine davon im Inhalt einer Datei vorhanden sein müssen.

    screenshot

  14. Klicken Sie auf "OK", und der erstellte benutzerdefinierte Dateityp wird dem verfügbaren Satz von IntelliRAW-Regeln hinzugefügt. Er wird mit einer anderen Farbe angezeigt und die Eigenschaft "Benutzerdefiniert" haben.

    screenshot

  15. Neue Regeln werden standardmäßig sofort nach ihrer Erstellung aktiviert. Sie können Ihre Regel deaktivieren, indem Sie sie in der Liste auswählen und oben in der Symbolleiste auf die Schaltfläche "Deaktivieren" klicken und später die Schaltfläche "Ermöglichen" verwenden, um sie zu aktivieren.

    screenshot

    screenshot

Danach kann der Editor geschlossen werden. Der erstellte benutzerdefinierte Dateityp bleibt nach dem Neustart im Programm. Sie können sich auch später auf diese Komponente beziehen, wenn Sie den bearbeiten, deaktivieren oder löschen möchten.

Darüber hinaus können Sie den mit dem Tool "Exportieren" als *.xml-Datei zu Sicherungszwecken oder zum weiteren Import in auf einem anderen Computer gestarteten UFS Explorer speichern.

Implementierung benutzerdefinierter Regeln während eines Scans

Um beim Scannen eines Speichers mit UFS Explorer nach Ihrem eigenen benutzerdefinierten Dateityp zu suchen, gehen Sie wie folgt vor:

  1. Aktivieren Sie beim Einrichten eines Scans die Option "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert".

    screenshot

  2. Gleich danach erscheint eine weitere Option, die die Verwendung Ihrer eigenen Datensuchregeln ermöglicht. Haken Sie diese auch ab.

    screenshot

  3. Die Software zeigt die Anzahl der derzeit definierten benutzerdefinierten Regeln an. Wenn Sie Anpassungen daran vornehmen müssen, verwenden Sie die Option "Regeln verwalten". Wenn nicht, fahren Sie sofort mit dem Scannen fort.

    screenshot

UFS Explorer wird Ihre Regel verwenden und die mit ihrer Hilfe gefundenen Dateien im Ordner $Custom bereitstellen. Den Dateien werden automatisch neue Namen zugewiesen, da diese Informationen bei der "rohen Wiederherstellung" nicht verfügbar sind. Sie sollten sich auch darüber im Klaren sein, dass diese Methode Schwachstellen aufweist und bei umfangreicher Dateifragmentierung schlechte Ergebnisse liefert. Wenn für das Ende der Datei keine eindeutige Signatur vorhanden ist, scheinen viele von ihnen beschädigt zu sein.

Letzte Aktualisierung: 22. März 2022

Wenn Ihnen dieser Artikel gefällt, teilen Sie ihn in sozialen Medien: